Modélisation et simulation du canal de communication d un botnet pour l évaluation des NIDS

Transcription

1 Modélisation et simulation du canal de communication d un botnet pour l évaluation des NIDS Georges Bossert 1 2, Guillaume Hiet 2, Thibaut Henin 1 1 AMOSSYS SAS - Rennes, France 2 Equipe SSIR (EA 4039), Supélec mai 2011 AMOSSYS mai / 14

2 Plan de la présentation 1 La détection des botnets Les botnets Problématique de l évaluation 2 La modélisation pour la simulation Le principe La MMSTD L apprentissage du modèle 3 Implémentation et résultats Implémentation Résulats 4 Conclusion AMOSSYS mai / 14

3 La détection des botnets Rappels sur les botnets BOTNETS : Ensemble de systèmes interconnectés interragissant pour accomplir des tâches distribuées Contrôlés par une personne (ou un groupe) au travers d un canal de communication appelé C&C Les solutions pour s en protéger : Analyse de l impact du malware sur le système Analyse de sa prolifération et de la topologie réseau Analyse des symptômes réseau : détection du canal de communication BotSniffer, BotHunter, Snort, Bro, Suricata,... AMOSSYS mai / 14

4 La détection des botnets Rappels sur les botnets BOTNETS : Ensemble de systèmes interconnectés interragissant pour accomplir des tâches distribuées Contrôlés par une personne (ou un groupe) au travers d un canal de communication appelé C&C Les solutions pour s en protéger : Analyse de l impact du malware sur le système Analyse de sa prolifération et de la topologie réseau Analyse des symptômes réseau : détection du canal de communication BotSniffer, BotHunter, Snort, Bro, Suricata,... AMOSSYS mai / 14

5 La détection des botnets Rappels sur les botnets BOTNETS : Ensemble de systèmes interconnectés interragissant pour accomplir des tâches distribuées Contrôlés par une personne (ou un groupe) au travers d un canal de communication appelé C&C Les solutions pour s en protéger : Analyse de l impact du malware sur le système (antivirus) [Out-of-Scope] Analyse de sa prolifération et de la topologie réseau Analyse des symptômes réseau : détection du canal de communication BotSniffer, BotHunter, Snort, Bro, Suricata,... AMOSSYS mai / 14

6 La détection des botnets Rappels sur les botnets BOTNETS : Ensemble de systèmes interconnectés interragissant pour accomplir des tâches distribuées Contrôlés par une personne (ou un groupe) au travers d un canal de communication appelé C&C Les solutions pour s en protéger : Analyse de l impact du malware sur le système (antivirus) [Out-of-Scope] Analyse de sa prolifération et de la topologie réseau (réputations, black&white listes...)[out-of-scope] Analyse des symptômes réseau : détection du canal de communication BotSniffer, BotHunter, Snort, Bro, Suricata,... AMOSSYS mai / 14

7 La détection des botnets Rappels sur les botnets BOTNETS : Ensemble de systèmes interconnectés interragissant pour accomplir des tâches distribuées Contrôlés par une personne (ou un groupe) au travers d un canal de communication appelé C&C Les solutions pour s en protéger : Analyse de l impact du malware sur le système (antivirus) [Out-of-Scope] Analyse de sa prolifération et de la topologie réseau (réputations, black&white listes...)[out-of-scope] Analyse des symptômes réseau : détection du canal de communication Cas d utilisation typique d un NIDS BotSniffer, BotHunter, Snort, Bro, Suricata,... AMOSSYS mai / 14

8 La détection des botnets Problématique de l évaluation Comment évaluer l efficacité des NIDS pour détecter ce type de menace? Exécuter un malware sur un réseau ouvert mais contrôlé Le réseau de commande n est pas statique Dépendance forte entre l évaluation et le botmaster Nombreux risques de fuites et d attaques involontaires (coûts élevés x nombre d évaluation) Déploiement du botnet en laboratoire Très compliqué (coûts élevés x nombre d évaluation) Problème de réalisme À considérer pour une méthodologie d évaluation des NIDS Le réalisme assure l exactitude de l évaluation La contrôlabilité assure la reproductibilité de l évaluation AMOSSYS mai / 14

9 La détection des botnets Problématique de l évaluation Comment évaluer l efficacité des NIDS pour détecter ce type de menace? Exécuter un malware sur un réseau ouvert mais contrôlé Le réseau de commande n est pas statique Dépendance forte entre l évaluation et le botmaster Nombreux risques de fuites et d attaques involontaires (coûts élevés x nombre d évaluation) Déploiement du botnet en laboratoire Très compliqué (coûts élevés x nombre d évaluation) Problème de réalisme À considérer pour une méthodologie d évaluation des NIDS Le réalisme assure l exactitude de l évaluation La contrôlabilité assure la reproductibilité de l évaluation AMOSSYS mai / 14

10 La détection des botnets Problématique de l évaluation BESOIN : Génération d un trafic réseau SOLUTION : Rejeu de pcaps : réaliste mais incontrôlable Trafic synthétique : irréaliste mais contrôlable Méthode hybride : réaliste et contrôlable Modélisation du trafic au travers de captures réseaux Paramétrage des couches réseaux avec le modèle pour générer un trafic AMOSSYS mai / 14

11 La détection des botnets Problématique de l évaluation BESOIN : Génération d un trafic réseau SOLUTION : Rejeu de pcaps : réaliste mais incontrôlable Trafic synthétique : irréaliste mais contrôlable Méthode hybride : réaliste et contrôlable Modélisation du trafic au travers de captures réseaux Paramétrage des couches réseaux avec le modèle pour générer un trafic AMOSSYS mai / 14

12 La détection des botnets Problématique de l évaluation BESOIN : Génération d un trafic réseau SOLUTION : Rejeu de pcaps : réaliste mais incontrôlable Trafic synthétique : irréaliste mais contrôlable Méthode hybride : réaliste et contrôlable Modélisation du trafic au travers de captures réseaux Paramétrage des couches réseaux avec le modèle pour générer un trafic AMOSSYS mai / 14

13 La détection des botnets Problématique de l évaluation BESOIN : Génération d un trafic réseau SOLUTION : Rejeu de pcaps : réaliste mais incontrôlable Trafic synthétique : irréaliste mais contrôlable Méthode hybride : réaliste et contrôlable Modélisation du trafic au travers de captures réseaux Paramétrage des couches réseaux avec le modèle pour générer un trafic AMOSSYS mai / 14

14 La modélisation pour la simulation Le principe AMOSSYS mai / 14

15 La modélisation pour la simulation Machine de Mealy Stochastique à Transitions Déterministes MMSTD = S, X, Y, T, q 0 Pour résumer : q 0 État initial S Ensemble des états X Alphabet des messages d entrés Y Alphabet des messages en sorties T T = X Y, T = {A(y x)} Transitions déterministes mais messages de sorties indéterministes Prise en compte du temps de réaction Réduction de l alphabet d entrée ($ , $DATE...) AMOSSYS mai / 14

16 La modélisation pour la simulation Machine de Mealy Stochastique à Transitions Déterministes Exemple d une MMSTD AMOSSYS mai / 14

17 La modélisation pour la simulation L apprentissage du modèle Apprentissage du modèle en 4 étapes Etape 1 : Capture d un C&C réel (tcpdump) Etape 2 : Extraction de l alphabet d entrée, du temps de réaction et des séquences Etape 3 : Inférence de la topologie du zombie confiné Etape 4 : Généralisation des messages de sorties Équivalences assurées : Syntaxique (vocabulaire) Sémantique (grammaire) Temporelle (temps de réaction) AMOSSYS mai / 14

18 La modélisation pour la simulation L apprentissage du modèle Apprentissage du modèle en 4 étapes Etape 1 : Capture d un C&C réel (tcpdump) Etape 2 : Extraction de l alphabet d entrée, du temps de réaction et des séquences Etape 3 : Inférence de la topologie du zombie confiné Etape 4 : Généralisation des messages de sorties Équivalences assurées : Syntaxique (vocabulaire) Sémantique (grammaire) Temporelle (temps de réaction) AMOSSYS mai / 14

19 Implémentation et résultats Implémentation Architecture AMOSSYS mai / 14

20 Implémentation et résultats Résultats Résultats Modèle du C&C du malware «pbot v2.0 by Validation de la détection du simulateur par un NIDS AMOSSYS mai / 14

21 Conclusion Pros Caractérisation du vocabulaire et de la grammaire Automatisable Rapide (plusieurs heures) et réactif Simple à partager et à reproduire Cons Le chiffrement du C&C La complétude du modèle n est pas assuré L auto-protection (contre le sandboxing) Évolution du comportement (mise-à-jour) AMOSSYS mai / 14

22 Conclusion Travaux en cours & perspectives Automatiser la collecte de malware Créer un «repository» de modèles, Prendre en compte les actions du malware, Étendre le modèle avec d autres caractéristiques... Questions? AMOSSYS mai / 14

23 Annexe Apprentissage de la grammaire Apprentissage de la grammaire Méthode : «l élève et le professeur» Algorithme du L* a (Angluin) Recherche des séquences de symboles valides Ré-initialisation entre chaque soumission (virtualisation) AMOSSYS mai / 14